我们正在将一些虚拟机和云服务迁移到 Azure,但我们需要这些服务仍然连接到我们合作伙伴的 AD。我是一名开发人员,而不是系统管理员,所以我不确定如何做到这一点,或者这是否可行。
据我了解,我们需要做这样的事情:
- 在 Azure 中设置虚拟网络
- 在 Azure 和合作伙伴的数据中心之间设置站点到站点 VPN
- 在 Azure 中设置云服务/虚拟机(位于 #1 的 VNet 内)
- 在 Azure AD 中设置一个域,假设我们将其命名为“AzureDomain”
- 在 Azure AD 域和我们合作伙伴的 AD 域(“PartnerDomain”)之间建立信任。
- 在 Azure 云服务/VM 中设置 Windows 服务/IIS AppPools,以在我们的 Azure AD 域中的帐户下运行,例如“AzureDomain\service_account”
- 让合作伙伴授予“AzureDomain\service_account”访问其所需的任何网络共享/数据库/等资源的权限。
我是否遗漏了任何步骤?例如,是否需要某种 AD 同步,AzureDomain => 合作伙伴的 DC,还是 PartnerDomain => Azure DC?
我不在乎 Azure 基础架构中的服务是在 Azure AD 中的帐户下运行,还是在合作伙伴的 AD 中的帐户下运行。我只想要尽可能简单的解决方案,让 Azure 中的服务能够访问合作伙伴数据中心中的资源。
答案1
您将无法在 Azure AD 和 PartnerDomain 之间建立信任。您可能需要做的是使用 DirSync (http://technet.microsoft.com/en-us/library/jj151800.aspx) 以使两个 AD 实例保持同步。这样,您实际上是将 PartnerDomain 扩展到 Azure AD。最好将至少 1-2 个副本域控制器部署为 Azure VM,这样即使站点到站点 VPN 链接断开,您的基于云的服务也能够联系域。